FTC의 개정된 데이터 보호 규칙 준수를 위한 기한이 다가오고 있습니다.

작년 9월 1933일, 전 세계가 코로나XNUMX 감염의 또 다른 물결에 대비하는 동안 적어도 사이버 보안 측면에서 연방 무역 위원회(FTC)에서 훨씬 더 심각한 일이 발생했습니다. FTC는 세이프가드 규칙(공식적으로는 "고객 정보 보호 표준"으로 알려짐, XNUMX년 은행법에 뿌리를 둔 소비자 보호에 초점을 맞춘 규정)을 수년간 점진적으로 수정한 후 조용히 폭탄을 떨어뜨렸습니다.

이전에 방법에 대한 가이드라인을 제공한 적이 있습니다. 은행 소비자 정보를 보호해야 할 것으로 예상됨에 따라 FTC는 갑자기 "비은행 금융 기관"이 준수해야 하는 모든 단계에 대해 매우 세분화되었습니다. 광범위한 위험 평가 프로그램을 마련하는 것부터 다음과 같은 보안 조치를 구현하는 것까지 다단계 인증(MFA), FTC는 이제 집행 조치를 피하기 위해 회사가 해야 할 일을 정확히 설명했습니다. 어려운 마감일도 있었습니다. 2022 년 12 월 9 일 — 게시된 업데이트 날짜로부터 XNUMX년.

이 게시물에서는 이 업데이트된 규칙이 기업에 미치는 영향, 특히 새로운 보안 요구 사항과 기업이 취해야 할 조치를 검토합니다.

"비은행"의 의미

기술 세부 사항을 살펴보기 전에 "비은행 금융 기관"의 정의가 실제로 얼마나 넓은지 고려하는 것이 중요합니다. 분명히 업데이트된 세이프가드 규칙은 모기지 대출 기관, 급여 담보 대출 기관, 금융 회사, 모기지 중개인, 계좌 서비스 기관, 수표 출납원, 송금 회사, 추심 기관, 신용 상담사, 세금 준비 회사, 비연방 기관 등 금융 거래를 명시적으로 처리하는 회사에 적용됩니다. SEC에 등록할 필요가 없는 보험 가입 신용 조합 및 투자 고문.

그러나 이 규칙은 다음을 포함하여 훨씬 더 광범위한 조직에 잠재적으로 영향을 미칩니다. 자동차 대리점, 부동산 감정사, 자체 신용 카드를 제공하는 소매업체, 연방 학생 금융 프로그램에 참여하는 대학, 금융 서비스 업계의 고객과 함께 일하는 직업 상담사까지. 이는 "재정적 성격"으로 간주되는 활동에 참여하는 모든 회사가 세이프가드 규칙의 새로운 요구 사항, 특히 구매자와 판매자를 모으지만 실제로 거래를 처리하지는 않는 회사인 FTC가 "파인더"라고 부르는 요건의 적용을 받기 때문입니다.

이 놀라울 정도로 넓은 네트워크는 많은 기업이 XNUMX월에 갑자기 자신도 알지도 못하는 광범위하고 새로운 데이터 보호 요구 사항에 종속되고 예기치 않게 규정 준수 문제에 직면하게 되면서 놀라움을 금치 못할 수 있음을 의미합니다.

FTC의 규정 준수를 위한 MFA 요구 사항

지침이 지시하는 특정 보안 제어를 구현하는 것이 실제 작업이 시작되는 곳이기 때문에 업데이트된 세이프가드 규칙의 적용을 받는 조직을 결정하는 것은 첫 번째 장애물일 뿐입니다.

1. 다음은 개요입니다. 아홉 요소 FTC가 곧 요구할 사항:
   기업의 정보 보안 프로그램을 구현하고 감독할 "자격을 갖춘 개인"을 지정합니다.
2. 위험 평가는 저장되는 고객 정보와 저장 위치를 ​​정확하게 식별하고 해당 데이터 보안에 대한 예측 가능한 위험과 위협을 평가합니다.
3. 액세스 제어 구현, 고객 정보 암호화 및 구현을 포함하여 식별된 위험을 완화하기 위한 보호 조치 다중 요소 인증 (MFA).
4. 보안 취약성을 테스트하기 위한 시스템 전체 스캔을 포함한 안전 장치의 지속적인 모니터링.
5. 대비를 보장하기 위해 모든 직원, 공급업체 및 계약업체에 대한 필수 보안 인식 교육입니다.
6. 서비스 제공업체와 계약하여 보안 기대치 및 작업 모니터링 방법을 내장합니다.
7. 보안 프로그램을 정기적으로 업데이트하여 새로운 위협과 직원 변경에 직면하여 최신 상태를 유지합니다.
8. 고객 데이터에 대한 무단 액세스 또는 오용을 초래하는 보안 이벤트의 경우 서면 사고 대응 계획 작성.
9. 정규 보고서는 자격을 갖춘 개인이 작성하여 회사의 이사회(또는 관리 기구)에 제출합니다.

여기에서 제공되는 세부 수준은 철저한 데이터 보안 프로그램을 구현하기 위해 재무 지향적인 조직을 자극하는 데 큰 도움이 될 것입니다. 그러나 어떤 면에서 FTC는 특히 MFA와 관련하여 업데이트를 충분히 진행하지 못했습니다.

물론 기관은 "지식 요소"(예: 암호), "소유 요소"(예: 토큰) 및 "내재 요소"(예: 생체 특성)를 포함하여 MFA 솔루션이 충족해야 하는 몇 가지 기준을 설명합니다. . 시장에 나와 있는 모든 주요 MFA 공급자는 이를 쉽게 충족합니다. 그러나 어떤 특정 시스템에 MFA를 적용해야 하는지에 대한 지침이 없으며 이는 조직을 위험에 노출시킬 수 있는 누락입니다.

이것을 나오는 지시문과 비교하십시오. 사이버 보험 올해 회사. 정책에 대한 자격을 얻으려면 회사는 이제 클라우드 기반 이메일, 원격 네트워크 액세스, 디렉터리 서비스에 대한 내부 및 원격 관리자 액세스, 네트워크 백업 환경, 네트워크 인프라(예: 방화벽, 라우터, 및 스위치), 조직 워크스테이션 및 서버. 이는 사이버 보험사들이 게임에 정통하고 2020년부터 기록적인 손실을 막기 위해 공격적으로 노력하고 있기 때문입니다.일부 연구에 따르면 최대 72%의 비율). 공공 부문과 민간 부문 간의 격차, 즉 기관의 광범위한 지침 대 개별 회사의 수익성 요구 사항 사이의 격차는 그 어느 때보다 커졌습니다.

어디에서나 MFA의 중요성

이를 통해 얻을 수 있는 결론은 간단합니다. 목표가 소비자를 위한 포괄적인 데이터 보호라면 FTC는 보호 규칙 업데이트에서 충분히 진전을 이루지 못했습니다. 그 이유는 기존 MFA 솔루션이 실제로 사용되는 주요 벡터 중 하나로부터 회사를 보호할 수 없기 때문입니다. 랜섬 공격 — 명령줄 액세스.

다음과 같은 명령줄 액세스 도구 PsExec의, PowerShell 및 WMI(Windows Management Instrumentation)는 IT 관리자가 관리하는 시스템에 원격으로 액세스하기 위해 광범위하게 사용됩니다. 그러나 사이버 공격자는 사용자 자격 증명(일반적으로 관리자 자격 증명)을 손상시킨 후 환경 전체에서 측면 이동과 같은 악의적인 목적으로 이러한 도구를 사용합니다. 실제로 최근의 거의 모든 랜섬웨어 공격은 이 정확한 기술을 사용했습니다. 이는 회사가 여전히 심각한 취약점에 직면하면서도 FTC를 완전히 준수할 수 있음을 의미합니다.

기존 MFA는 명령줄 도구에 적용할 수 없기 때문에 인증 프로토콜(Kerberos 및 NTLM) MFA를 지원하지 않는 구현을 구현하면 보안 문제가 발생합니다. 다행히도 사용할 수 있는 솔루션이 있습니다. Silverfort 미국 신원 보호 플랫폼.

Silverfort 온프레미스 및 클라우드 모두에서 모든 사용자, 모든 시스템 및 모든 환경에 대한 모든 인증을 지속적으로 모니터링하는 유일한 제품을 제공합니다. 그 의미는 Silverfort MFA 시행 가능 모든 단일 앱, 인터페이스 및 인프라를 포함하는 전체 IT 에코시스템에 걸쳐 FTC가 요구하는 고객 데이터 소스(상주 위치 및 액세스 방식)에 대한 전체론적 보호 유형을 정확히 제공합니다.

이것은 모두에게 좋은 소식입니다. 비은행 금융 기관은 시스템이 FTC를 준수할 뿐만 아니라 완전히 안전하다는 확신을 가질 수 있는 반면 소비자는 자신의 기밀 데이터가 실제로 잘 보호된다는 것을 믿을 수 있습니다.

더 많은 내용을 확인하세요. Silverfort 플랫폼.뒤